OTSC ransomware es capaz de consultar la API de Google Maps para descubrir la ubicación de la víctima y se conecta con el C & C a través de UDP.
Ransomware es considerado por los expertos en seguridad una de las amenazas más peligrosas para los usuarios de Internet y organizaciones de todo el mundo.
Los autores de malware están desarrollando nuevos códigos maliciosos que implementan nuevas características para mejorar la evasión y la capacidad de extensión. Los investigadores de seguridad en BleepingComputer han informado de un nuevo ransomware denominado Cry o OTSC. Fue descubierto por primera vez por el investigador de malware MalwareHunterTeam.
Una vez infectada una máquina del ransomware OTSC cifra los archivos y añadir la extensión .cry a ellos. Al igual que el Cerber ransomware, también la OTSC envía información a su servidor de comando y control a través de UDP.
Después de infectar un ordenador, el ransomware OTSC recoge la información en el host (versión para Windows, Service Pack instalado, versión del sistema operativo, nombre de usuario, nombre del equipo y el tipo de CPU) que envía a través de UDP 4096 direcciones IP diferentes, pero sólo uno de ellos es el servidor C & C.
Los Vxers han elegido el protocolo UDP en un intento de ocultar la ubicación del servidor de C & C. La amenaza solicita el pago de un 1,1 bitcoins (más de $ 600) el rescate con el fin de descifrar los archivos.
El ransomware OTSC implementa una característica singular, aprovecha sitios web como Imgur.com y Pastee.org para recibir información sobre las víctimas, es capaz de consultar la API de Google Maps para descubrir la ubicación de la víctima utilizando los SSID de las redes inalámbricas cercanas.
El ransomware utiliza la función WlanGetNetworkBssList para obtener los SSID cercanas, de esta manera, es capaz de determinar la ubicación de la víctima, pero no está claro cómo el malware utiliza esta información.
La amenaza cifra el archivo, carga de ordenadores de información junto con una lista de archivos cifrados a Imgur.com mediante la compilación de todos los datos en un archivo de imagen PNG falso y enviarlo en un álbum.
Imgur, a su vez, asigna un nombre exclusivo para el archivo de imagen y notifica a la ransomware OTSC y luego difunde el nombre de archivo a través de UDP para informar al servidor C & C.
Similar a otros ransomware, el ransomware Cry elimina las instantáneas de volumen utilizando el comando vssadmin. De esta manera se evita que las víctimas de la restauración de los archivos cifrados.
La amenaza gana la persistencia mediante la creación de una tarea programada de nombre aleatorio que se activa cada vez que el usuario inicia una sesión en Windows. La tarea también se reduce notas de rescate en el escritorio de la máquina infectada.
La nota de rescate incluye instrucciones sobre cómo acceder a la red Tor para llegar al sitio de pago utilizado por los autores.
Segun bleepingcomputer.com: "Las notas de rescate creado por la Organización de Tratamiento Central de Seguridad ransomware contienen enlaces a un sitio de pago TOR que tiene un título de la ventana de Gabinete del usuario. Cuando un usuario visita este sitio, se les pedirá a iniciar sesión utilizando el código personal de su nota de rescate. "
